楼主: qftest
收起左侧

[技术原创] Win8x64 咖啡豆基础规则【Update 2014/03/28 Final】

  [复制链接]
qftest
 楼主| 发表于 2014-3-1 19:19:09 | 显示全部楼层
本帖最后由 qftest 于 2014-3-1 19:22 编辑


测试 explorer.exe联网 http://bbs.kafan.cn/thread-1678903-1-1.html





关闭月神监控,正常双击






关闭禁运规则“阻止对所有共享资源的读写访问”和自定义09,关闭自动Sandbox
未发现C:\Windows\explorer.exe被注入,等了N久不见下一步动作,网络端口正常,病毒不断创建进程导致CPU占用过高,手动在windows任务管理器中结束进程后未发现异常,不放心又用急救箱扫了一遍结果报告未发现威胁



仍然关闭禁运和Sandbox,切换到疯狂模式,点击拦截后病毒进程果断退出,未发现异常



疯狂模式故意放行全部动作
病毒试图通过wmic执行远程管理,被自定义04规则和D+拦截后试图在system32下创建explorer.exe,被拦截后自动退出,未发现系统异常及explorer.exe联网行为

所有测试完成后目测系统正常
你说不要云杀是指关闭comodo的双击自动云查询吗?这个好麻烦的,不想重启来重启去就开着吧
后面两个有时间再测,闪先

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
墨家小子
发表于 2014-3-1 20:52:32 | 显示全部楼层
qftest 发表于 2014-3-1 19:19
测试 explorer.exe联网 http://bbs.kafan.cn/thread-1678903-1-1.html

前面的连云就别测了,肯定杀的

后面的测试能不能把启动项贴一下啊
神农大表哥
发表于 2014-3-1 23:39:25 | 显示全部楼层
感谢分享
cobrayang
发表于 2014-3-2 11:07:09 | 显示全部楼层
本帖最后由 cobrayang 于 2014-3-2 11:10 编辑

咖啡所有规则恢复到默认标准保护,仅加一条“阻止对所有共享资源的读写访问”,你看有样本能过吗?这条规则阻止的不是样本的危险行为,而是几乎所有行为,包括启动!
cobrayang
发表于 2014-3-2 11:09:08 | 显示全部楼层
毛豆所有规则恢复到默认,清空默认的信任厂商列表,再去掉文件评级里的4个勾,你看有样本能过不?如果能过也是你放行的。。
qftest
 楼主| 发表于 2014-3-2 13:06:15 | 显示全部楼层
墨家小子 发表于 2014-3-1 20:52
前面的连云就别测了,肯定杀的

后面的测试能不能把启动项贴一下啊

这个配置是双击后自动云查询、报毒后自动中止病毒进程而不是杀毒
我记得前面的测试应该是没有被修改启动项,当时每轮测试完成后我都分别用PT和PCHunter检查过,并且还校验了全部的数字签名等等东西
即便我当时目测有误,在测试完成后的急救箱扫描也不应该报告没有发现威胁
咖啡豆组合靠的就是月神D+禁运Sandbox这些防御手段,如果再放行云查询就不是测试咖啡豆组合的防御能力了,而是纯粹用COMODO来跟踪观察病毒的小动作。。。

闲来无事,下面我就关闭所有的防御+放行云查询、疯狂模式跟踪观察一下:



D+的部份报警事件截图(不贴那么多了,选了几张贴上来)

第1次拦截:



第2次拦截:



Debugr提权:



衍生物:



第3次拦截:



注入svchost.exe:



修改启动项注册表:



注入netsh.exe:



(其他相关截图:)

所有动作全部放行后,会多出一个explorer.exe:



启动项被修改的样子:





重启后,病毒衍生物自动启动、创建system32\explorer.exe进程:



然后是一系列的提权、修改、注入就懒得截图了。。。
最后附上提取到的衍生物:http://bbs.kafan.cn/forum.php?mo ... 03&pid=30582584


无论是放行时还是重启后,comodo事件中都没有看到c:\windows\explorer.exe被注入

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
qftest
 楼主| 发表于 2014-3-2 13:09:40 | 显示全部楼层
STCn1000 发表于 2014-3-1 14:23
看不懂~~~~
这个也只能8下面用吧。。是5.12的毛豆?貌似不能在8.1下面用?

这个规则不复杂啊。。
我没有用过8.1,听说comodo5.12在8.1平台下确实有问题
qftest
 楼主| 发表于 2014-3-2 13:10:45 | 显示全部楼层
qpzmggg999 发表于 2014-3-1 14:42
支持一下,只怕这样玩咖啡,会阻止系统更新啊。

而且像 控制exe这种 纯禁运规则

这就是我平时用的规则,不觉得排除量很大呀
墨家小子
发表于 2014-3-2 13:11:55 | 显示全部楼层
本帖最后由 墨家小子 于 2014-3-2 13:14 编辑
qftest 发表于 2014-3-2 13:06
这个配置是双击后自动云查询、报毒后自动中止病毒进程而不是杀毒
我记得前面的测试应该是没有被修改启动 ...


其实我的意思是,看你的麦咖啡规则能不能防御住系统程序被利用(劫持、注入、DDE)之后的一些行为。如果这些被利用的系统程序写启动服务项,能被你的规则防御住,那就OK。并不是全部的禁运。
qftest
 楼主| 发表于 2014-3-2 13:12:42 | 显示全部楼层
cobrayang 发表于 2014-3-2 11:07
咖啡所有规则恢复到默认标准保护,仅加一条“阻止对所有共享资源的读写访问”,你看有样本能过吗?这条规则 ...

“阻止对所有共享资源的读写访问”就是默认的“防病毒爆发控制”规则,这条全局禁运规则不放行当然不能执行
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-25 00:53 , Processed in 0.123991 second(s), 19 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表